分享方式:


使用 Microsoft Entra ID 設定 SCIM 布建 (Azure Active Directory)

本文說明如何使用 Microsoft Entra 識別符,設定對 Azure Databricks 帳戶的布建。

Databricks 建議您將使用者、服務主體和群組布建至帳戶層級,並管理將使用者和群組指派給 Azure Databricks 內的工作區。 您必須 為身分識別同盟啟用工作區,才能管理使用者指派給工作區。

注意

設定布建的方式與設定 Azure Databricks 工作區或帳戶的驗證和條件式存取完全不同。 使用 OpenID Connect 通訊協定流程,Microsoft Entra ID 自動處理 Azure Databricks 的驗證。 您可以設定 條件式存取,讓您建立規則以要求多重要素驗證,或限制在服務層級對局域網路的登入。

使用 Microsoft Entra 識別符,將身分識別布建至 Azure Databricks 帳戶

您可以使用 SCIM 布建連接器,將帳戶層級使用者和群組從Microsoft Entra ID 租使用者同步至 Azure Databricks。

重要

如果您已經有將身分識別直接同步至工作區的 SCIM 連接器,則必須在啟用帳戶層級 SCIM 連接器時停用這些 SCIM 連接器。 請參閱 將工作區層級 SCIM 布建移轉至帳戶層級

需求

  • 您的 Azure Databricks 帳戶必須具有 進階方案
  • 您必須在 Microsoft Entra ID 中具有雲端應用程式管理員角色。
  • 您的Microsoft Entra ID 帳戶必須是進階版本帳戶,才能布建群組。 布建用戶適用於任何Microsoft Entra ID 版本。
  • 您必須是 Azure Databricks 帳戶管理員。

注意

若要啟用帳戶主控台並建立您的第一個帳戶管理員,請參閱 建立您的第一個帳戶管理員

步驟 1:設定 Azure Databricks

  1. 身為 Azure Databricks 帳戶管理員,登入 Azure Databricks 帳戶控制台
  2. 按兩下 [用戶設定圖示設定]。
  3. 按兩下 [ 使用者布建]。
  4. 按兩下 [ 設定使用者布建]。

複製 SCIM 令牌和帳戶 SCIM URL。 您將使用這些來設定您的Microsoft Entra ID 應用程式。

注意

SCIM 令牌僅限於帳戶 SCIM API /api/2.1/accounts/{account_id}/scim/v2/ ,無法用來向其他 Databricks REST API 進行驗證。

步驟 2:設定企業應用程式

這些指示會告訴您如何在 Azure 入口網站 中建立企業應用程式,並使用該應用程式進行布建。 如果您有現有的企業應用程式,您可以使用 Microsoft Graph 將其修改為自動化 SCIM 布建。 這可移除 Azure 入口網站中個別布建應用程式的需求。

請遵循下列步驟來啟用 Microsoft Entra ID,以將使用者和群組同步至您的 Azure Databricks 帳戶。 此設定與您建立的任何設定不同,可將使用者和群組同步至工作區。

  1. 在您的 Azure 入口網站 中,移至 Microsoft Entra ID > Enterprise Applications
  2. 按兩下 應用程式清單上方的[+ 新增應用程式 ]。 在 [從資源庫新增] 底下,搜尋並選取 [Azure Databricks SCIM 布建連接器]。
  3. 輸入應用程式的 [名稱],然後按兩下 [新增]。
  4. 在 [ 管理] 功能表下,按兩下 [ 布建]。
  5. 將 [布建模式] 設定為 [自動]。
  6. SCIM API 端點 URL 設定為您稍早複製的帳戶 SCIM URL。
  7. 將秘密令牌設定為您稍早產生的 Azure Databricks SCIM 令牌。
  8. 按兩下 [ 測試連線 ],並等候確認認證已獲授權啟用布建的訊息。
  9. 按一下 [檔案] 。

步驟 3:將使用者和群組指派給應用程式

指派給 SCIM 應用程式的使用者和群組將會布建至 Azure Databricks 帳戶。 如果您有現有的 Azure Databricks 工作區,Databricks 建議您將這些工作區中的所有現有使用者和群組新增至 SCIM 應用程式。

注意

Microsoft Entra ID 不支援將服務主體自動布建至 Azure Databricks。 您可以在您的帳戶中管理服務主體之後,新增 Azure Databricks 帳戶的服務主體。

Microsoft Entra ID 不支援將巢狀群組自動布建至 Azure Databricks。 Microsoft Entra ID 只能讀取和布建明確指派群組的立即成員的使用者。 作為因應措施,請明確指派包含需要布建之使用者的群組(或其他範圍)。 如需詳細資訊,請參閱 此常見問題

  1. 移至 [ 管理 > 屬性]。
  2. [需要指派] 設定為 [否]。 Databricks 建議此選項,這可讓所有使用者登入 Azure Databricks 帳戶。
  3. 移至 [ 管理 > 布建]。
  4. 若要開始將Microsoft Entra ID 使用者和群組同步處理至 Azure Databricks,請將 [ 布建狀態 ] 切換為 [開啟]。
  5. 按一下 [檔案] 。
  6. 移至 [ 管理 > 使用者和群組]。
  7. 按兩下 [ 新增使用者/群組],選取使用者和群組,然後按下 [ 指派] 按鈕。
  8. 等候幾分鐘,並檢查您的 Azure Databricks 帳戶中是否存在使用者和群組。

當您新增和指派的使用者和群組會在Microsoft Entra ID 排程下一次同步時,自動布建至 Azure Databricks 帳戶。

注意

如果您從帳戶層級 SCIM 應用程式移除使用者,該使用者會從帳戶和其工作區中停用,而不論是否已啟用身分識別同盟。

布建秘訣

  • 啟用布建之前存在於 Azure Databricks 工作區中的使用者和群組,會在布建同步處理時表現出下列行為:
    • 如果它們也存在於Microsoft Entra識別符中,則會合併
    • 如果它們不存在於 Microsoft Entra 識別符中,則會予以忽略
  • 即使使用者移除群組成員資格之後,群組中成員資格所複製的個別指派用戶許可權仍會維持不變。
  • 使用 Azure Databricks 工作區管理員設定頁面,直接從 Azure Databricks 工作區中移除的使用者:
    • 失去該 Azure Databricks 工作區的存取權,但可能仍然可以存取其他 Azure Databricks 工作區。
    • 即使專案標識碼仍保留在企業應用程式中,也不會再次使用 Microsoft Entra ID 佈建進行同步處理。
  • 啟用布建之後,會立即觸發初始Microsoft Entra ID 同步處理。 後續同步處理會每隔 20-40 分鐘觸發一次,視應用程式中的使用者和群組數目而定。 請參閱 Microsoft Entra ID 檔中的布建摘要報告
  • 您無法更新 Azure Databricks 工作區使用者的使用者名稱或電子郵件位址。
  • 群組 admins 是 Azure Databricks 中的保留群組,無法移除。
  • 您可以使用 Azure Databricks 群組 API群組 UI 來取得任何 Azure Databricks 工作區群組的成員清單。
  • 您無法從 Azure Databricks SCIM 布建連接器 應用程式同步處理巢狀群組或Microsoft Entra ID 服務主體。 Databricks 建議使用企業應用程式來同步處理使用者和群組,以及管理 Azure Databricks 內的巢狀群組和服務主體。 不過,您也可以使用 以 Azure Databricks SCIM API 為目標的 Databricks Terraform 提供者 或自定義腳本來同步巢狀群組或Microsoft Entra ID 服務主體。
  • Microsoft Entra ID 中組名的更新不會同步處理至 Azure Databricks。

(選擇性)使用 Microsoft Graph 將 SCIM 布建自動化

Microsoft Graph 包含驗證和授權連結庫,您可以將使用者和群組布建至 Azure Databricks 帳戶或工作區自動化,而不是設定 SCIM 布建連接器應用程式。

  1. 依照指示向 Microsoft Graph 註冊應用程式。 記下應用程式識別碼應用程式的租用戶標識碼
  2. 移至應用程式的 [概觀] 頁面。 在該頁面上:
    1. 設定應用程式的客戶端密碼,並記下秘密。
    2. 授與應用程式這些許可權:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. 要求Microsoft Entra ID系統管理員授與 管理員同意
  4. 更新應用程式的程序代碼,以 新增 Microsoft Graph 的支援。

疑難排解

使用者和群組不會同步

  • 如果您使用 Azure Databricks SCIM 佈建連接器 應用程式:
    • 在帳戶控制台中,確認用來設定布建的 Azure Databricks SCIM 令牌仍然有效。
  • 請勿嘗試同步巢狀群組,Microsoft Entra ID 自動布建不支援。 如需詳細資訊,請參閱 此常見問題

Microsoft Entra ID 服務主體不會同步

  • Azure Databricks SCIM 布建連接器應用程式不支援同步處理服務主體。

初始同步完成後,使用者和群組會停止同步

如果您使用 Azure Databricks SCIM 布建連接器 應用程式:初始同步處理之後,Microsoft Entra ID 不會在您變更使用者或群組指派之後立即同步。 其會根據使用者和群組的數目,在延遲一段時間後才排程與應用程式的同步處理。 若要要求立即同步處理,請移至管理>企業應用程式的布建,然後選取 [清除目前狀態],然後重新啟動同步處理

Microsoft Entra ID 佈建服務 IP 範圍無法存取

Microsoft Entra ID 布建服務會在特定IP範圍下運作。 如果您需要限制網路存取,您必須允許來自此IP範圍檔案中IP位址AzureActiveDirectory的流量。 如需詳細資訊,請參閱 IP 範圍